Cerber.Ransom#2(17.02.17)

显示全部楼层 · 发表于 2017-2-17 21:58:05

微点拦截一个

显示全部楼层 · 发表于 2017-2-17 22:02:10

avast也是秒级入库啊，感谢双击的勇士，入库速度赶上红伞了

显示全部楼层 · 发表于 2017-2-18 11:51:46

本帖最后由 liulangzhecgr 于 2017-2-20 11:05 编辑

[mw_shl_code=css,true]

11:43:25(1)：(自动允许)程序启动：File_Analysis 行为记录成功开启

11:43:25(2)：(自动允许)获取文件属性：C:\Users\baba\AppData\Roaming

11:43:25(3)：(自动允许)读取文件：F:\ 访问权限：1048705

11:43:25(4)：(自动允许)读取文件：F:\Program Files 访问权限：1048705

11:43:25(5)：(自动允许)读取文件：F:\Program Files\File_Analysis(密码：520) 访问权限：1048705

11:43:25(6)：(安全环境)创建文件目录：C:\Users\baba\AppData\Local\Microsoft\Windows\Caches

11:43:25(7)：(自动允许)创建文件目录：C:\Users

11:43:25(8)：(自动允许)创建文件目录：C:\Users\baba

11:43:25(9)：(自动允许)创建文件目录：C:\Users\baba\AppData

11:43:25(10)：(自动允许)创建文件目录：C:\Users\baba\AppData\Local

11:43:25(11)：(安全环境)创建文件目录：C:\Users\baba\AppData\Local\Microsoft

11:43:25(12)：(安全环境)创建文件目录：C:\Users\baba\AppData\Local\Microsoft\Windows

11:43:25(13)：(安全环境)创建文件目录：C:\Users\baba\AppData\Local\Microsoft\Windows\Caches

11:43:25(14)：(安全环境)创建文件目录：C:\Users\baba\AppData\Local\Microsoft\Windows\Caches

11:43:25(15)：(自动允许)创建文件目录：C:\Users

11:43:25(16)：(自动允许)创建文件目录：C:\Users\baba

11:43:25(17)：(自动允许)创建文件目录：C:\Users\baba\AppData

11:43:25(18)：(自动允许)创建文件目录：C:\Users\baba\AppData\Local

11:43:25(19)：(安全环境)创建文件目录：C:\Users\baba\AppData\Local\Microsoft

11:43:25(20)：(安全环境)创建文件目录：C:\Users\baba\AppData\Local\Microsoft\Windows

11:43:25(21)：(安全环境)创建文件目录：C:\Users\baba\AppData\Local\Microsoft\Windows\Caches

11:43:25(22)：(阻止)删除文件：C:\Users\baba\AppData\Local\Microsoft\Windows\Caches\{AFBF9F1A-8EE8-4C77-AF34-C647E37CA0D9}.1.ver0x0000000000000000.db

11:43:25(23)：(自动允许)读取文件：C:\Users\baba\Desktop\desktop.ini 访问权限：-2147483648

11:43:25(24)：(自动允许)创建文件目录：C:\Users\baba\AppData\Local\Temp\

11:43:33(25)：(自动允许)删除文件：C:\Users\baba\AppData\Local\Temp\nsqD70C.tmp

11:43:33(26)：(自动允许)获取文件属性：f:\program files\file_analysis(密码：520)\File_safe\cerber.exe

11:43:33(27)：(自动允许)读取文件：f:\program files\file_analysis(密码：520)\File_safe\cerber.exe 访问权限：-2147483648

11:43:34(28)：(自动允许)创建文件目录：C:\Users

11:43:34(29)：(自动允许)获取文件属性：C:\Users

11:43:34(30)：(自动允许)创建文件目录：C:\Users\baba

11:43:34(31)：(自动允许)获取文件属性：C:\Users\baba

11:43:34(32)：(自动允许)创建文件目录：C:\Users\baba\AppData

11:43:34(33)：(自动允许)获取文件属性：C:\Users\baba\AppData

11:43:34(34)：(自动允许)创建文件目录：C:\Users\baba\AppData\Roaming

11:43:34(35)：(自动允许)获取文件属性：C:\Users\baba\AppData\Roaming

11:43:34(36)：(自动允许)获取文件属性：C:\Users\baba\AppData\Roaming\Dogbane.Lu

11:43:34(37)：(自动允许)获取文件属性：C:\Users\baba\AppData\Roaming\Dogbane.Lu

11:43:34(38)：(自动允许)写入文件：C:\Users\baba\AppData\Roaming\Dogbane.Lu

11:43:38(39)：(自动允许)获取文件属性：C:\Users\baba\AppData\Roaming\Connections_incoming.txt

11:43:38(40)：(自动允许)获取文件属性：C:\Users\baba\AppData\Roaming\Connections_incoming.txt

11:43:38(41)：(自动允许)写入文件：C:\Users\baba\AppData\Roaming\Connections_incoming.txt

11:43:47(42)：(自动允许)获取文件属性：C:\Users\baba\AppData\Roaming\fa.txt

11:43:47(43)：(自动允许)获取文件属性：C:\Users\baba\AppData\Roaming\fa.txt

11:43:47(44)：(自动允许)写入文件：C:\Users\baba\AppData\Roaming\fa.txt

11:43:53(45)：(自动允许)获取文件属性：C:\Users\baba\AppData\Roaming\Change_installer_language.txt

11:43:53(46)：(自动允许)获取文件属性：C:\Users\baba\AppData\Roaming\Change_installer_language.txt

11:43:53(47)：(自动允许)写入文件：C:\Users\baba\AppData\Roaming\Change_installer_language.txt

11:43:59(48)：(自动允许)获取文件属性：C:\Users\baba\AppData\Roaming\sida.dll

11:43:59(49)：(自动允许)获取文件属性：C:\Users\baba\AppData\Roaming\sida.dll

11:43:59(50)：(自动允许)写入文件：C:\Users\baba\AppData\Roaming\sida.dll

11:44:05(51)：(自动允许)获取文件属性：C:\Users\baba\AppData\Roaming\sv.txt

11:44:05(52)：(自动允许)获取文件属性：C:\Users\baba\AppData\Roaming\sv.txt

11:44:05(53)：(自动允许)写入文件：C:\Users\baba\AppData\Roaming\sv.txt

11:44:09(54)：(自动允许)获取文件属性：C:\Users\baba\AppData\Roaming\nl.txt

11:44:09(55)：(自动允许)获取文件属性：C:\Users\baba\AppData\Roaming\nl.txt

11:44:09(56)：(自动允许)写入文件：C:\Users\baba\AppData\Roaming\nl.txt

11:44:14(57)：(自动允许)获取文件属性：C:\Users\baba\AppData\Roaming\uz.txt

11:44:14(58)：(自动允许)获取文件属性：C:\Users\baba\AppData\Roaming\uz.txt

11:44:14(59)：(自动允许)写入文件：C:\Users\baba\AppData\Roaming\uz.txt

11:44:31(60)：(自动允许)查找文件：C:\Users\baba\AppData\Local\Temp\nswADFB.tmp

11:44:31(61)：(自动允许)删除文件：C:\Users\baba\AppData\Local\Temp\nswADFB.tmp

11:44:31(62)：(自动允许)创建文件目录：C:\Users

11:44:31(63)：(自动允许)获取文件属性：C:\Users

11:44:31(64)：(自动允许)创建文件目录：C:\Users\baba

11:44:31(65)：(自动允许)获取文件属性：C:\Users\baba

11:44:31(66)：(自动允许)创建文件目录：C:\Users\baba\AppData

11:44:31(67)：(自动允许)获取文件属性：C:\Users\baba\AppData

11:44:31(68)：(自动允许)创建文件目录：C:\Users\baba\AppData\Local

11:44:31(69)：(自动允许)获取文件属性：C:\Users\baba\AppData\Local

11:44:31(70)：(自动允许)创建文件目录：C:\Users\baba\AppData\Local\Temp

11:44:31(71)：(自动允许)获取文件属性：C:\Users\baba\AppData\Local\Temp

11:44:31(72)：(自动允许)创建文件目录：C:\Users\baba\AppData\Local\Temp\nswADFB.tmp

11:44:34(73)：(自动允许)获取文件属性：C:\Users\baba\AppData\Local\Temp\nswADFB.tmp\System.dll

11:44:34(74)：(自动允许)写入文件：C:\Users\baba\AppData\Local\Temp\nswADFB.tmp\System.dll

11:44:40(75)：(自动允许)写入文件：Dogbane.Lu

11:44:43(76)：(自动允许)查找文件：C:\Users\baba\AppData\Local\Temp\nswADFB.tmp

11:44:43(77)：(自动允许)查找文件：C:\Users\baba\AppData\Local\Temp

11:44:43(78)：(自动允许)查找文件：C:\Users\baba\AppData\Local

11:44:43(79)：(自动允许)查找文件：C:\Users\baba\AppData

11:44:43(80)：(自动允许)查找文件：C:\Users\baba

11:44:43(81)：(自动允许)查找文件：C:\Users

11:44:43(82)：(自动允许)获取文件属性：C:\

11:44:43(83)：(自动允许)查找文件：C:\Users\baba\AppData\Local\Temp\nswADFB.tmp\*.*

11:44:43(84)：(自动允许)获取文件属性：C:\Users\baba\AppData\Local\Temp\nswADFB.tmp\System.dll

11:44:43(85)：(安全环境)设置文件属性：C:\Users\baba\AppData\Local\Temp\nswADFB.tmp\System.dll

11:44:43(86)：(自动允许)删除文件：C:\Users\baba\AppData\Local\Temp\nswADFB.tmp\System.dll

11:44:43(87)：(自动允许)查找文件：C:\Users\baba\AppData\Local\Temp\nswADFB.tmp

11:44:43(88)：(自动允许)获取文件属性：C:\Users\baba\AppData\Local\Temp\nswADFB.tmp\

11:44:43(89)：(安全环境)设置文件属性：C:\Users\baba\AppData\Local\Temp\nswADFB.tmp\

11:44:43(90)：(自动允许)删除文件目录：C:\Users\baba\AppData\Local\Temp\nswADFB.tmp\

11:44:43(91)：(自动允许)程序退出：File_Analysis 行为记录到此为止
[/mw_shl_code]

显示全部楼层 · 发表于 2017-2-20 09:30:00

MSE 断网
cerber.exe
Infected: Ransom:Win32/Cerber
cerber2.exe
Infected: Trojan:Win32/Dynamer!a

[病毒样本] Cerber.Ransom#2(17.02.17)